Исходный код «Госуслуг» оказался в открытом доступе. Личных данных нет, но есть цифровые сертификаты

Данные взяли с регионального сайта Пензенской области.

Фото РИА «Новости»

Обновлено 28.12 (16:40):

В региональном минфине <a href="https://t.me/rian_ru/137001" rel="nofollow noreferrer noopener" target="_blank">рассказали</a>, что данные пользователей пензенского сайта «Госуслуг» в безопасности. Попавшие в сеть сертификаты и закрытые ключи были тестовыми — с их помощью невозможно подключиться к реальным сервисам и получить из них данные.

Обновлено 28.12 (08:47)

Портал «Госуслуг» Пензенской области стал недоступен после сообщений об утечке исходного кода. На сайте <a href="https://gosuslugi.pnzreg.ru" rel="nofollow noreferrer noopener" target="_blank">сообщается</a>, что уже работают над устранением проблемы.

Обновлено 22:01:

Минцифры в ответ на информацию об утечке исходного кода «Госуслуг» <a href="#1">заявило</a>, что портал работает в штатном режиме, а данные пользователей защищены.

25 декабря на хакерском сайте Сybersec появилась публикация, в которой автор выложил в открытой доступ исходный код «Госуслуг». По его словам, данные скачали с ресурсов с поддоменов mos.ru.

Автор Сybersec обнаружил открытый репозиторий, в котором находился исходный код «Госуслуг» в формате .git и в незашифрованном виде. Помимо исходников, в утечке содержатся сертификаты ЕСИА, которые можно использовать для взлома аккаунтов.

Я уж не знаю логику разрабов, но они зачастую думают, что если они пилят на поддоменах, то это безопасно. Но увы. Многочислиненные инструменты позволяют выяснить имена сабдоменов, и вот тогда приходит писец. Что и произошло с mos.ru.
На поддоменах .mos.ru яростно пренебрегали ограничениями к каталогам .git. Я не знаю какова ситуация сейчас, проблему я зарепортил. В сухом остатке осталась куча исходного кода, которым я с удовольствием делюсь с вами.

из текста Сybersec

После изучения кода выяснилось, что «Госуслуги» созданы на движке «Битрикс», а система авторизации ЕСИА — на базе OpenID. Автор отметил, что его изучение поможет найти другие уязвимости системы и закрыть их или обернуть в свою сторону и выкрасть данные пользователей.

Также в статье автор рассказал, что перед публикацией обратился к администрации «Госуслуг», чтобы рассказать об утечке данных. Однако там лишь попросили у него детальное описание утечки и её подтверждение, а после и вовсе перестали отвечать.

Фото Сybersec

27 декабря основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян подтвердил изданию «Код Дурова» факт утечки. При этом он отметил, что речь идёт об исходном коде Регионального портала госуслуг Пензенской области. По данным эксперта, пользовательские данные утечка не затронула.

Читатель телеграм-канала Denis Sexy IT также рассказал, что федеральные «Госуслуги» и mos.ru в утечке ни при чём. Он отметил, что ущерба безопасности нет, так как региональные сайты — «тонкие клиенты основной ЕСИА-системы».

Обновлено 22:01: Минцифры в ответ на информацию об утечке исходного кода «Госуслуг» заявило, что портал работает в обычном режиме, а данные пользователей защищены. Также в ведомстве подтвердили, что нашли «недостатки» в работе одного из региональных сайтов и организовали дополнительный мониторинг возможных атак на инфраструктуру.

#новости #сливы #госуслуги